과학기술정보통신부가 연초 고객정보 유출과 분산서비스거부(DDoS) 공격을 받은 LG유플러스에 경쟁 통신사 수준의 정보보호 투자를 요구했다. 상대적으로 저조한 보안투자가 전반적인 침해 예방과 대응 체계 수준이 낮아졌다는 이유다.
홍진배 과기정통부 네트워크정책실장은 27일 정부서울청사에서 브리핑을 통해 전문 보안인력과 정보보호 투자가 부족한 점을 지적하면서 이같이 밝혔다.
지난해 기준 LG유플러스의 정보보호 투자액은 292억원이며, 정보보호 인력은 91명이다. KT와 SK텔레콤이 각각 1천21억원, 860억원을 투자한 데 비해 절반에 못미치는 수준이다. 또 양사는 정보보호 인력도 336명, 305명을 갖추고 있는데, 이 역시 LG유플러스가 부족하다는 것이다.
홍진배 실장은 “(LG유플러스는) 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족하고, 정보보호 조직의 권한과 책임도 미흡했다”며 “IT와 정보보호 관련 조직이 여러 곳에 분산되어 있어 긴급 상황 발생 시, 유기적인 대응 및 빠른 의사결정에 어려움이 있었던 것으로 보인다”고 말했다.
이어, “주요 보안인력을 타 통신사와 대등한 수준으로 보강하고, 정보보호책임자(CISO, CPO)를 CEO 직속 조직으로 강화해 보다 전문화된 보안조직 체계를 구성해야 한다”며 “정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하고 한시적인 투자 확대가 아닌 장기 계획에 따른 보완 투자가 진행될 수 있도록 요구했다”고 밝혔다.
고객정보가 유출된 것은 실시간 감시 통제 시스템의 부재를 이유로 꼽았다. 이에 따라 메일시스템에만 적용된 AI 기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대토록 시정조치를 요구했다.
디도스 공격 전에도 약 68개 이상의 라우터 정보가 외부에 노출되는 등 주요 네트워크 정보가 외부에 많이 노출된 점이 공격에 악용된 것으로 파악됐다.
이에 따라, 분기별로 1회 이상 모든 IT 자산에 대한 보안 취약점을 점검하고 제거하고, 침해사고 예방 대응 분석 등에 활용할 수 있는 IT자산 통합관리시스템을 도입토록 했다.
아울러 외부기관을 통해 최근 사이버 위협 기반의 공격 시나리오를 개발하고, 이에 맞는 맞춤형 모의훈련을 연 2회 이상 수행하며 외부기관이 진행하는 모의 침투 훈련에도 참여하도록 했다.
이밖에 C레벨을 포함한 임직원 대상으로 보안에 대한 경각심을 높일 수 있도록 보안교육을 연 2회 이상 실시하고, 실무를 반영한 보안매뉴얼을 개발할 것이 시정조치 요구사항에 포함됐다.
침해사고 조사 결과 보니
해커가 유출한 LG유플러스 데이터 60만건은 DB 형태의 텍스트 파일로 26개 컬럼으로 구성됐다. 과기정통부와 인터넷진흥원이 구성한 조사단은 LG유플러스의 전체회원 DB, 고객인증 DB, 해지고객 DB 등의 시스템을 조사해 동일인 중복 데이터를 제거하고 총 29만7천117명이 데이터 유출을 확인했다.
고객정보가 유출된 시점은 2018년 6월15일 오전 3시58분으로 추정됐다. 유출경로는 당시 시스템과 DB 접속 로그 정보가 남아있지 않아 특정하지 못했다.
정보 유출에 따른 스미싱, 이메일 피싱 등의 가능성이 제기됐지만 불법로그인은 비밀번호 암호화가 적용됐고, USIM 복제는 실제 USIM 개인키가 있어야 하기 때문에 가능성이 낮은 것으로 파악됐다.
지난 1월 발생한 디도스 공격은 라우터 장비가 공격 대상이 된 것으로 조사됐다. 라어투 장비에 비정상 패킷이 다량 유입되고 CPU 이용률이 늘어나는 자원 소진 공격 유형으로 분석됐다.
다른 통신사의 경우 라우터 정보 노출을 최소로 줄이고 있지만 LG유플러스는 약 689개 이상의 라우터가 외부에 노출됐다. 공격자은 포트 스캔으로 LG유플러스 라우터를 특정하고 공격을 감행한 것으로 추정됐다.
사이버 대응체계 제도개선 추진
과기정통부와 인터넷진흥원은 이 사건을 계기로 사이버침해대응센터의 힘해사고 탐지 분석 대응체계를 고도화하기로 했다.
우선 해킹위협 정보를 다양한 영역에수 수집하고 기존 탐지시스템을 ‘사이버위협통합탐지시스템’으로 통합 구축키로 했다.
침해사고에 대한 정부의 자료 제출요구 권한도 강화한다. 침해사고를 당하지 않았다고 주장하거나 사고 자체를 인지하지 못한 경우 자료제출 요구가 어려웠는데 이를 개선하겠다는 뜻이다. 즉, 침해사고 정황이나 징후가 명확한 경우 자료제출 법적 근거를 마련한다는 설명이다.
관련기사
- 박윤규 차관, 프랑스 경제재정산업디지털주권부 특임장관과 면담2023.04.26
- 한덕수 "과학기술-ICT 통한 국제협력 확대하겠다"2023.04.21
- 데이터 품질인증 제도 본격 추진된다2023.04.20
- 작년 국내 데이터산업 시장규모 25조원 돌파2023.04.18
침해사고가 발생하고도 신고하지 않은 경우에는 과태료를 기존 1천만원에서 2천만원으로 상향한다.
아울러 과기정통부의 침해사고 조치 방안을 이행토록 조치 이행점검 규정을 신설키로 했다.
